前に述べたように、100%のセキュリティは不可能です。しかし、組み合わせることで優れたセキュリティを実現するソリューションがいくつかあります。
Https
ご指摘のとおり、これはスニッフィングを防ぐため、重要な部分です。
セッション
セッションを使用し、有効なセッションなしでリクエストを許可しないでください(アプリを認証する必要がある最初のセッションを除く)。
指紋
ユーザーエージェントを確認し、追加のhttpヘッダーを設定して、アプリに固有のフィンガープリントを取得します。 (それでも誰かが嗅ぐことができますが、彼はカールなどを使用する必要がありました。)
リクエストを難読化する
クエリ文字列を作成し、ハッシュ関数を適用します。サーバーは逆関数を実装する必要があります。 ?a =1&b =2の代わりに?43adbf764Fz
暗号化
これはさらに一歩進んだものです。共有秘密を使用してハッシュを計算します。サーバー上で同じことを繰り返します。これはすでに強力なセキュリティです。中断するには、アプリをリバースエンジニアリングする必要があります。
一意の共有シークレットを使用する
あなたはそれがiOS用のアプリだと言います。インストール時に、iOSによって一意のトークンが生成されます。アプリにこのトークンをサーバーに登録してもらいます。このように、各インストールに固有の強力な共有秘密があり、Webアプリをハッキングする方法はありません。